Сергей Петренко - Политики безопасности компании при работе в Интернет

Настройки безопасности сервера управления Check Point Firewall-1. Сервер управления установлен на Windows 2000 Service Pack 4 и сконфигурирован в соответствии с руководствами по безопасности, указанными ранее. Глобальные свойства Check Point Firewall-1. Первый и наиболее важный шаг после начальной настройки Firewall-1 – отключить неявные правила, установленные по умолчанию на закладке Global Properties. На рис. 4.8 показаны правила, имеющие обозначение «First», то есть они обрабатываются перед любыми другими правилами.

Вдобавок существуют и два правила, именуемые «Before Last», которые исполняются перед последним правилом в списке (см. рис. 4.9).

Существует много проблем, связанных с этими правилами по умолчанию. Для многих из них в качестве источника или получателя указан «любой», что ведет к уменьшению степени защищенности как самого межсетевого экрана, так и сети, которую он защищает. Другая проблема заключается в том, что действия по этим правилам не журналируются и нет возможности включить журналирование. Все неявные правила по умолчанию должны быть отключены и указаны явные правила для включения только тех сервисов, которые действительно необходимы. Для отключения правил по умолчанию можно использовать закладку Policy → Global Properties → Firewall-l (см. рис. 4.10).

4.3.4. Настройки VPN

Для обеспечения удаленного доступа в сеть компании используется концентратор Cisco VPN 3030. В основу архитектуры VPN-доступа были положены следующие правила:

• для удаленного доступа используется протокол IPSec (проколы РРТР и L2TP не поддерживаются из-за низкой защищенности);

• для аутентификации и шифрования используется Encapsulating Security Protocol (ESP);

• для аутентификации IKE используются цифровые сертификаты (ргеshared-ключи не применяются из-за низкой защищенности);

• VPN-сертификаты сотрудников компании хранятся на устройствах Aladdin eToken USB. Это позволило обеспечить защищенное хранение сертификатов;

• для аутентификации пользователей VPN и выдачи IP-адресов VPN-клиентам применяется сервер Cisco Access Control Service с использованием протокола RADIUS;

• сервер Zone Labs Integrity используется для реализации политики безопасности и проверки настроек антивирусного программного обеспечения на подключаемых компьютерах. С его помощью осуществляется контроль программ и приложений, которые могут быть использованы внутри VPN-соединения;

• VPN-концентратор разрешает доступ только к некоторым подсетям и компьютерам, основываясь на членстве в группах пользователей, созданных на концентраторе.

Аутентификация пользователей VPN. Сервер Cisco Secure ACS выполняет аутентификацию пользователей VPN и выдачу IP-адреса. Конфигурирование VPN-концентратора необходимо выполнять только после того, как сконфигурирован сервер ACS с соответствующими идентификаторами пользователей, групп и диапазонами IP-адресов. Кроме этого VPN-концентратор должен быть сконфигурирован в качестве клиента сервера ACS, в противном случае он не сможет воспользоваться его сервисами.

Принципы аутентификации пользователей на VPN-концентраторе:

• создаются два раздельных пула IP-адресов – один для удаленных пользователей, другой для удаленного управления сетью. Эти диапазоны будут использованы в правилах внутренних межсетевых экранов для ограничения доступа на основе принадлежности к различным группам пользователей:

– удаленные пользователи – 172.16.61.1-254;

– удаленные администраторы – 172.16.62.1–6;

• внутренняя аутентификация на VPN-концентраторе не используется, но должны быть созданы локальные группы и названия групп должны быть идентичны названиям групп на сервере ACS;

• очень важно понимать, что названия групп должны быть идентичны первому полю клиентских сертификатов OU, потому что VPN-концентратор получает информацию о членстве в группе именно из этого поля;

• идентичные названия групп также должны быть установлены на сервере Zone Labs Integrity, потому что различные политики персональных межсетевых экранов будут выдаваться на основе анализа членства в группах;